内閣サイバーセキュリティセンター委託調査

内閣サイバーセキュリティセンター委託調査

平成２９年度企業において育成すべき人材の知識・スキル 及びカリキュラムに関する調査

調査研究報告書

平成３０年 ３月

みずほ情報総研株式会社

目 次

１． はじめに ... 3

１.１ 背景... 3

１.２ 略称について ... 4

２． 企業においてサイバーセキュリティ対策に従事する人材と教育の現状 ... 5

２.１ 想定する組織内の体制モデル ... 5

２.２ 文献調査 ... 7

２.２.１ 調査概要 ... 7

２.２.２ 調査から得られた知見... 10

２.２.３ 調査結果の分析 ... 38

２.３ ヒアリング調査 ... 41

２.３.１ 調査概要 ... 41

２.３.２ ヒアリング調査を通じて把握された事項 ... 41

２.４ 政府会議等における議論の把握 ... 47

３． 課題と方向性 ... 50

３.１ 現状における課題 ... 50

３.２ 課題の解決に関する方向性 ... 54

３.３ 方向性を踏まえた企業における考え方の具体化 ... 56

３.３.１ 組織体制についての検討 ... 56

３.３.２ 役割や人材像に関する検討 ... 58

３.３.３ 戦略マネジメント層の検討に係る考慮事項 ... 60

３.３.４ 戦略マネジメント層向けのカリキュラムについての検討 ... 63

４． 役割と人材像、要求されるスキル、具体的なカリキュラム ... 65

４.１ 戦略マネジメント層 ... 65

４.１.１ 求められる役割 ... 65

４.１.２ 想定されるキャリアパス ... 66

４.１.３ 求められる知識・スキル ... 67

４.１.４ 育成のためのカリキュラム ... 71

４.２ システム担当（実務者層） ... 73

４.２.１ 求められる役割 ... 73

４.２.２ 想定されるキャリアパス ... 75

４.２.３ 求められる知識・スキル ... 76

４.２.４ 育成のためのカリキュラム ... 82

４.３ システム構築・運用担当（技術者層） ... 84

４.３.１ 求められる役割 ... 84

４.３.３ 求められる知識・スキル ... 87

４.３.４ 育成のためのカリキュラム ... 95

５． 今後の検討事項 ... 97

５.１ 教材の研究開発の推進 ... 97

５.２ 講師の育成 ... 98

５.３ 産学官連携に基づく具体的なプログラムの推進 ... 99

６． おわりに ... 100

１．はじめに

１.１ 背景

サイバーセキュリティに係る人材を確保し、これらの人材が活躍できるキャリアパスを実現し ていくことが重要となっている中、サイバーセキュリティ人材の「需要」と「供給」を相応させ、

好循環の形成を促進していくためには、需要を産む産業界や、教育・訓練を行う主体（大学など）

を含めた産学官が連携し、人材像の正しい認識が共有されていることが必要である。また、既に サイバーセキュリティ人材の育成に関する様々な施策が実施されている中、こうした人材像の共 通認識を持ちつつ、個々の施策について連携を強化することによって、より効果的な実施を図る ことができるとともに、セキュリティ教育に関わる有限なリソースを効率的に活用できる可能性 もある。具体的には、産業界においては、情報通信技術（IT）の利活用の主軸がCIT（コーポレ

ート IT）から BIT（ビジネスIT）に移行し、BIT を前提としたビジネス戦略の推進及びリスク

マネジメントの確保にあたり、ビジネスにおけるサイバーセキュリティの重要性が増大している。

そして、このような環境の変化に対応したセキュリティ人材の確保及び育成が必要とされている。

一方、教育界では、そのようなセキュリティ人材が持つべき知識・スキルを習得するためのモデ ルとなるカリキュラムが必要とされており、産学官の関係者が一体となった取組が期待されてい る。

こうした状況を受けて、『サイバーセキュリティ人材育成プログラム』（平成29年４月18日サ イバーセキュリティ戦略本部決定）及び『2020年及びその後を見据えたサイバーセキュリティの 在り方について-サイバーセキュリティ戦略中間レビュー-』（平成29年７月13日サイバーセキュ リティ戦略本部決定）において、施策間の連携を強化するため、サイバーセキュリティ人材の人 材像や必要とされる知識・スキルを明らかにするとともに、モデルとなるカリキュラムの策定が 必要であると示された。

このような背景を踏まえ、企業等におけるビジネスモデル、IT利活用の方法や規模等によって 類型化が必要となる可能性を十分に考慮しつつ、

（１）企業内のサイバーセキュリティに関する組織体制

（２）組織体制における、各層の役割・人材像

（３）必要とされる知識・スキル（セキュリティに関する知識・スキルに限らず、ITに関わる基 礎的な知識（計算機科学や通信理論など）から社会科学的（経営、法律など）なもの、さ らには、トレンド（IT利活用のモデルやサイバー犯罪動向、国際情勢など））

（４）知識・スキルを習得するための、モデルとなるカリキュラム の明確化を目的として、本調査研究を実施した。

１.２ 略称について

本報告書で用いる略称は、それぞれ次の意味を示すものとする。

BIT Business IT

CBK Common Body of Knowledge

CIO 最高情報責任者

CISO 最高情報セキュリティ責任者

CISSP Certified Information Systems Security Professional

CIT Corporate IT

CSIRT Computer Security Incident Response Team

DB データベース ICT 情報通信技術

IoT Internet of Things

(ISC)² International Information Systems Security Certification Consortium

IT 情報技術

IPA 独立行政法人情報処理推進機構

ISAC Information Sharing and Analysis Center

ISMS 情報セキュリティマネジメントシステム

JNSA 特定非営利活動法人日本ネットワークセキュリティ協会

MIT マサチューセッツ工科大学

NACD National Association of Corporate Directors

NCA 日本コンピュータセキュリティインシデント対応チーム協議会

NICE National Initiative for Cybersecurity Education

NICT 国立研究開発法人情報通信研究機構

NISC 内閣官房内閣サイバーセキュリティセンター

NIST 米国国立標準技術研究所

OS オペレーティングシステム PC パーソナルコンピュータ PoC 連絡窓口（Point of Contact）

SOC セキュリティオペレーションセンター

産業横断検討会 産業横断サイバーセキュリティ人材育成検討会

２．企業においてサイバーセキュリティ対策に従事する人材と教育の現状

２.１ 想定する組織内の体制モデル

本調査において想定する、企業等の組織内におけるサイバーセキュリティに関する体制のモデ ルを次図に示す。

図 1 想定する組織内の体制モデル（出典：脚注参照¹）

本調査では、上図における「経営層」「戦略マネジメント機能」「システム担当」「システム構築・

運用担当」の４種類の人材ごとに１．１に示す（１）～（４）の内容の明確化を図る。このとき、

「戦略マネジメント機能」については、サイバーセキュリティ対策を担う人材としてこれまでそ の人材像が明確化されていないことから、本調査において重点的に扱うこととする。なお、「戦略

1 サイバーセキュリティ人材の育成に関する施策間連携ワーキンググループ第2回会合 資料1-2より引用。

https://www.nisc.go.jp/conference/cs/jinzai/wg2/dai02/pdf/02shiryou0102.pdf

マネジメント機能」を担う人材の呼称については、後述のように文献や検討主体ごとに異なる呼 称や人材像で扱われており、統一されていない。今後、人材像についての関係機関や専門家にお ける共有が図られていくと見込まれるが、本調査では仮に「戦略マネジメント層」と称すること とする。

また、本調査で対象とする「システム担当」「システム構築・運用担当」を担う人材は、それぞ れの役割の中でセキュリティ確保のための方策について、経営層や戦略マネジメント層から示さ れる方針をもとに、セキュリティ確保のための方策に関して、その実装方法を検討・立案する役 割を担う人材として扱うものとする。

２.２ 文献調査

本調査の実施にあたり、公表されている文献やインターネット上の情報源をもとに収集した情 報について整理する。

２.２.１ 調査概要

本調査において調査対象とした文献の一覧は次表の通りである。以降の記述において当該文献 を参照する際には、「[文献 2]によると」のように本表における参照用連番を用いて表記すること とする。また、１．１にて示した本調査で明確化しようとする 4種類の内容に関連する記述が当 該文献に含まれているかどうかを●印にて表中に示した。

表 1 調査対象文献の一覧

発行国 参照用

連番 著者, 文献名称, 発行機関, 発行時期

調査事項との 対応（●＝有）

(1) (2) (3) (4)

国内

文献1

産業横断サイバーセキュリティ人材育成検討会 第一期最終報告書, 産

業横断サイバーセキュリティ人材育成検討会

年

月

産業横断サイバーセキュリティ人材育成検討会 第二期中間報告書, 産

業横断サイバーセキュリティ人材育成検討会, 2017 年

月.

文献3 CSIRT

人材の定義と確保 Ver.1.5, 日本コンピュータセキュリティインシ

デント対応チーム協議会, 2017 年

月.

鎌田敬介, サイバーセキュリティマネジメント入門, 一般社団法人金融

財政事情研究会

年

月

人生

年時代構想会議 中間報告

首相官邸

年

月

＋

独立行政法人情報通信研究機構（

）

年

月

セキュリティ知識分野（

）人材スキルマップ

年版

教

育部会, 2017 年

月.

の役割と人材のスキル 1.0 版, 日本セキュリティオペレーション事

業者協議会, 2016 年

月.

「管理職に求められる「マネジメント」、管理職が執るべき行動の在り方に ついて」, 管理職のマネジメント能力に関する懇談会資料, 内閣府人事 局, 2016 年.

－ － ● －

文献10

平成

年度理工系プロフェッショナル教育推進委託事業 工学分野に おける理工系人材育成の在り方に関する調査研究（情報セキュリティ人 材育成に関する調査研究）成果報告書, 文部科学省（委託先：学校法 人岩崎学園情報セキュリティ大学院大学）, 2017 年

月.

－ － ● ●

文献11

東京電機大学国際化サイバーセキュリティ学特別コース（CySec）

[5MG]情報セキュリティマネジメントとガバナンス, 2017

年度

米国

文献12

Cybersecurity Framework, NIST, 2014

年

月

（邦訳版）重要インフラのサイバーセキュリティを向上させるためのフレー ムワーク

版, 独立行政法人情報処理推進機構（IPA）, 2014 年

月.

● ● － － 文献13 Cyber-risk Oversight (Director's Handbook Series), National

Association of Corporate Directors (NACD), 2017

年.

発行国 参照用

連番 著者, 文献名称, 発行機関, 発行時期

調査事項との 対応（●＝有）

(1) (2) (3) (4)

米国

文献14 Special Publication 800-181 National Initiative for

Cybersecurity Education (NICE) Cybersecurity Workforce

Framework, NIST, 2017

年

月.

文献15

Robert L. Katz: Skills of an Effective Administrator, Harvard Business Review, 1974

年

月号.

（邦訳版）ロバート・L・カッツ: スキル・アプローチによる優秀な管理者へ の道, ハーバードビジネス

年

月号, ダイヤモンド社.

－ － ● －

文献16 CISSP8

ドメインガイドブック, (ISC)

年.

Cybersecurity Curricula 2017 (CSEC2017) Curriculum Guidelines for Post-Secondary Degree Programs in Cybersecurity version0.95, IEEE, 2017

年

－ － ● ● 文献18 MBA

コース

年春期科目“

”

EU

文献19 European e-Competence Framework 3.0, EU, 2014

年.

ENISA, 2015

年.

英国 文献21 SFIA（Skills Framework for the Information Age）Version 6/7 ,

SFIA Foundation, 2015-7

年.

シンガ ポール

文献22 Skill Framework for Infocomm Technology,

シンガポール政府

SkillsFuture

プロジェクト, 2017 年.

文献23 Cyber Security Associates and Technologists Programme, CSA,

2017

年.

イスラ エル

文献24 National Cyber Security Organisation: ISRAEL, CCDCOE /

NATO, 2017

年.

文献25 Tabansky, L., & Ben Israel, I.: Cybersecurity in Israel. (Springer Briefs in Cybersecurity Series, Springer International

Publishing, ISBN 978-3-319-18985-7, 2015.

● － － －

（各文献のうち、ウェブ上で公表されているもののURL）

[文献1] http://cyber-risk.or.jp/sansanren/xs_20160914_01_Report_1.0.pdf [文献2] http://cyber-risk.or.jp/cric-csf/report/CRIC-CSF-2nd-Interim-Report.pdf [文献3] http://www.nca.gr.jp/activity/imgs/recruit-hr20170313.pdf

[文献5] https://www.kantei.go.jp/jp/singi/jinsei100nen/pdf/chukanhoukoku.pdf [文献6] https://www.ipa.go.jp/jinzai/itss/itssplus.html

[文献7] http://www.jnsa.org/result/2017/skillmap/index.html [文献8] http://isog-j.org/output/2016/SOC_skill_v1.0.pdf

[文献9] https://www.cas.go.jp/jp/gaiyou/jimu/jinjikyoku/kanri_kondankai/dai1/siryou.html [文献10] http://www.mext.go.jp/a_menu/koutou/sangaku2/1387701.htm

[文献11] https://cysec.dendai.ac.jp/category/allyear/2017/#tabs-5 [文献12] https://www.nist.gov/cyberframework

（邦訳版）https://www.ipa.go.jp/security/publications/nist/index.html [文献13] https://isalliance.org/board-auditors/cybersecurity-and-corporate-boards/

[文献14] https://www.nist.gov/itl/applied-cybersecurity/nice/resources/nice-cybersecurity-workforce-framework [文献16] https://japan.isc2.org/files/CISSP8_Guidebook_2017_1101.pdf

[文献18] https://sloanbid.mit.edu/resources/15.580.pdf

[文献19] http://www.ecompetences.eu/

[文献20] https://www.enisa.europa.eu/publications/status-of-privacy-and-nis-course-curricula-in-eu-member-states [文献21] https://www.sfia-online.org/en

[文献22] http://www.skillsfuture.sg/skills-framework/ict [文献23] https://www.csa.gov.sg/programmes/csat

[文献24] https://ccdcoe.org/multimedia/national-cyber-security-organisation-israel.html

２.２.２ 調査から得られた知見

調査対象文献に記載されている内容のうち、本調査で明確化すべき内容についての検討にあた り考慮すべき事項について、１．に示す（１）～（４）の４種類の内容ごとに整理する。

（１）企業内のサイバーセキュリティに関する組織体制

調査対象文献においてサイバーセキュリティ対策を実施するための組織体制について言及され ている内容の概要を以下に示す。

① 産業横断サイバーセキュリティ人材育成検討会における、企業内のサイバーセキュリティ対 策を担う体制に関する検討

[文献1]及び[文献2]において、産業横断サイバーセキュリティ人材育成検討会（以下、「産業

横断検討会」という。）が企業内のサイバーセキュリティ対策を担う体制に関して、次の検討を 行っている。

ア）ユーザ企業の類型（[文献

産業横断検討会では、セキュリティ人材のキャリアパスの検討に際して、「ITと事業の関係性」

をもとに次の類型化を行っている。これは「ITビジネス企業」においてはビジネス開発がITシ ステム開発を伴うことが多いことから、DevOpsあるいはDevSecOpsなどと呼ばれるように開発 と運用とセキュリティ対策がサイクル的に同時並行的に行われていると見込まれることによる。

この結果、こうした企業におけるセキュリティ人材のキャリアパスは通常の人事制度として確立 され、「伝統的な企業」との間でセキュリティ人材のキャリアパスと大きく異なると想定されてい

る。表 2 産業横断検討会によるユーザ企業の類型（[文献2]をもとに作成）

ITビジネス企業

ビジネス自体がインターネット上にある企業、または、ITを駆使してビジ ネスを行う企業

 業界：E-コマース、金融、各種クラウドサービス事業者等

 サイバーセキュリティがビジネスに直結していることに自覚的であり、

サイバーセキュリティに関して経営層の理解も高い。

伝統的な企業

ものづくり的な部分がビジネスの根幹である企業

 業界：電力、ガス、水道、石油、化学、自動車、航空、鉄道、その他製 造メーカ等（多くの重要インフラ関連企業が含まれる。）

 情報だけでなく、物理的なプラントや人などの安全（セーフティ）も含 めたセキュリティ²。

 サイバーセキュリティの重要性を認識しつつも、その優先度は必ずしも 高くない。

2 物理的なプラント等におけるIT化の進展により、サイバーセキュリティの問題が保安の問題につながるような ケースを想定。

イ）サイバーセキュリティ専門部署の必要性（[文献

前項で「伝統的な企業」として類型化された企業において、外部からの脅威や攻撃者への 対応が必要なサイバーセキュリティの分野を扱うには、企業に既にある機能を分化して部門 を設置するだけでは対応が難しいことが判明した旨が示されている。産業横断検討会に参加 している企業でもサイバーセキュリティ対応部門を新設している事例が多いことから、今後 同様にサイバーセキュリティ対応部門の保有／設置が必須になることが想定されている。

ウ）セキュリティ統括（室等）の定義について（[文献

「セキュリティ統括（室等）」とは、「伝統的な企業」において、情報システム部門とは別 に、企業活動の全体に跨がってサイバーセキュリティ対応を担う部署を指す。産業横断検討 会への参加企業において、徐々に業務系IT以外のシステムにおいてITを利活用する事例が 多くなり、それに伴い従来の情報システム部門だけではセキュリティに関しての企画・戦略・

管理が難しく、それらをとりまとめる部門が必要との議論に基づいて打ち出されたものであ る。このセキュリティ統括は、後述の人材の役割に関する検討の中で「エキスパート人材（セ キュリティ統括人材）として提案されている人材キャリアと対応するものである。

②

によるサイバーセキュリティを対象とするフレームワークの提示

[文献 12]は、重要インフラ事業者を主たる対象として、サイバーセキュリティへの取組を企

業にとってのビジネス上のモチベーションにつながるものとし、サイバーセキュリティリスク を企業のリスク管理プロセスの一環として扱えるようにするためのフレームワークとして、米 国NISTが2014年2月に公表したものである。本フレームワークの特徴は次の通りである。

 フレームワークコアとして、企業におけるサイバーセキュリティリスクの管理機能を、「特定」

「防御」「検知」「対応」「復旧」の５種類に大別し、さらに複数のカテゴリに整理している。

企業ではこれを参照することで、対策の立案を効率的に進めたり、取引先や連携先等とのコ ミュニケーションを円滑にしたりする効果が得られる。

 フレームワークインプリメンテーションティアとして、企業におけるサイバーセキュリティ 対策プロセスの成熟度に関する指標を提供。この指標についても顧客や連携先等とのコミュ ニケーションの円滑化や組織における改善への取組に活用可能である。

 フレームワークに適合さえた形で提供されるプロファイルを参照することで、企業における

「ビジネス要件」「リスク許容度」「リソース」「プライバシー保護」等のニーズに応じたサイ バーセキュリティ対策の検討を支援。

なお、本調査の実施時点でNISTにおいて改訂版（Version 1.1）の検討が進められている。

図 2 NIST

サイバーセキュリティフレームワークにおける企業内の情報と意思決定の流れ（概念図）

③

による経営層が理解しておくべきサイバーセキュリティ５原則

[文献13]では、企業の経営層が理解しておくべき、サイバーセキュリティに関する次の5種

類の原則を軸に、サイバーセキュリティ対策に関する考え方を提示している。

1) 経営層は、サイバーセキュリティを ITのみの問題ではなく、企業全体のリスクマネジメ ントの問題として理解し、対処する必要がある。

2) 経営層は、企業特有の状況に関連づけてサイバーセキュリティの法的遂行について理解す べきである。

3) 役員はサイバーセキュリティの専門家と適切に連絡を取り、役員会の議題として定期的か つタイムリーにサイバーリスクの管理について議論すべきである。

4) 経営層は、適切な人材と予算を用いた企業全体のサイバーリスクマネジメントフレームワ ークの構築への期待を示すべきである。

5) サイバーリスクについての役員会では、どのリスクを除去し、どのリスクを需要するか、

さらにどのリスクについて緩和したり保険に移転したりするかの区別について、それぞれ のアプローチに応じた計画と併せて論ずるべきである。

本調査に関連した内容としては、経営層に対して上記の 5 原則の実施を求めているほか、第4 の原則に関連して、経営層に対しサイバーリスクをマネジメントするためのチーム（サイバー

3 独立行政法人情報処理推進機構（IPA）によるセキュリティ関連NIST文書の翻訳資料より引用。

『重要インフラのサイバーセキュリティを向上させるためのフレームワーク 1.0版』

https://www.ipa.go.jp/security/publications/nist/index.html

リスクチーム）の編成を求めている点が注目される。また付録として、経営層向けのサイバー リテラシーに関するセルフチェックリスト、M&A におけるリスク、計量の考え方、参考とす べき情報源等が添付されている。

④ NCA による企業内体制の３類型

[文献3]では、企業における専門人材の在籍状況等をもとに、外部のベンダへの委託の度合い

に応じたCSIRTの実装例の分類として、次の３種類のモデルを提示している。

表 3 CSIRTの実装モデル（[文献3]を参考に作成）

モデル 定義 CSIRTの特徴

A ユーザ企業で総務部門等を主体として構築・運用 されているCSIRT

自警団として最低限の機能のみを有 し、システム維持はベンダに委託 B

ユーザ企業でIT系子会社、または情報セキュリ ティに関する専門部門を主体として構築・運用さ

れているCSIRT

自組織のコア事業以外の部分をベン ダにアウトソーシング

C IT系、セキュリティベンダ系企業において構築・

運用されているCSIRT

CSIRT機能のほとんどすべてを自組

織にて保有

調査結果からの考察

①～④の文献より、企業内のサイバーセキュリティに関する組織体制について、次のことが 考察される。



米国においては、情報システム部門、ビジネス部門の業務に関わらず、サイバーセキュリ ティ対策を含む

利活用に関する指揮監督は経営層の責任で行うべきとの認識のもと、 ビ ジネスにおけるリスク管理の観点からもサイバーセキュリティ対策を担う組織体制の構 築が進められている。



一方、日本ではこれまでサイバーセキュリティ対策は情報システム部門等を中心として実 施され、ビジネス部門におけるサイバーセキュリティ対策を担う組織体制の構築はこれか らの課題である。



日米でこうした違いが生ずる背景としては、米国では次図に示すようにユーザ企業に

人材が数多く存在し、かつその流動性が高いことから、企業のニーズに応じて必要な体制 の構築が容易であるのに対し、日本の

人材はベンダに偏在しており、 「伝統的な企業」

におけるサイバーセキュリティ対策はベンダへの委託が前提となってきたことに起因す る可能性が高い。

出典：IT 人材白書（独立行政法人情報処理推進機構（IPA）, 2017 年）図表

をもとに作成

72.0%

34.6%

44.0%

46.1%

38.6%

46.6%

28.0%

65.4%

56.0%

53.9%

61.4%

53.4%

0% 20% 40% 60% 80% 100%

日本 米国 カナダ イギリス ドイツ フランス

IT企業 それ以外の企業

（２）組織体制における、各層の役割・人材像

調査対象文献においてサイバーセキュリティ対策を実施するための組織体制における、各層の 役割・人材像等に関して言及されている内容の概要を以下に示す。なお区分に用いられる名称に ついては、「人材像」という用語が「ある専門性に特化した人材」という印象を与えることから、

兼務を前提としたり、非常時のみの業務を担うような人材に対して「役割」（ロール）が、特定の 人材像や役割との対応関係を前提としない場合について「専門分野」が、それぞれ用いられるこ とがある。

① 産業横断検討会（第

期最終報告書）による人材定義リファレンス

[文献1]において、企業のセキュリティ関連活動を機能として洗い出し、それぞれの機能を実

施していくために必要な30の役割として、次表の定義を行っている。表中に示されている通り、

「監査・個人情報保護」を除き、これらの役割はいずれも情報システム部門に所属している人 材が担う役割として想定されている。

表 4 サイバーセキュリティ機能を担う役割一覧（[文献1]より引用）

カテゴリ 役割（担当）

適応力・態度（■＝チームワークや作業遂行に必要）

問 題発 見力

問 題分 析力

仮 説設 定力

論 理思 考力

概念 化力

俯 瞰力

深 耕力

革 新力

継 続力

相 手 の考 え を 理 解 す る力

自 分 の考 えを 伝 え る力

共 感 を 呼 ぶ力

情報システ ム部門にお け る サ イ バ ー セ キ ュ リ テ ィ 機 能 を 担う役割

（担当）

管理職

CISO/CRO.CIO等 ■ ■ ■ ■ ■ ■ ■ ■

サイバーセキュリティ統括（室等） ■ ■ ■ ■ ■ ■ ■ ■ ■ ■ システム部門責任者 ■ ■ ■ ■ ■ ■ ■ システム管理者 ■ ■ ■ ■ ■ ■ ■ ネットワーク管理者 ■ ■ ■ ■ ■ ■ ■

CSIRT責任者 ■ ■ ■ ■ ■ ■ ■ ■

セ キ ュ リ テ ィ 担当職

サイバーセキュリティ事件・事故担当 ■ ■ ■ ■ ■ ■ ■ ■ ■ セキュリティ設計担当 ■ ■ ■ ■ ■ ■ ■ ■ ■ ■ 構築系サイバーセキュリティ担当 ■ ■ ■ ■ ■ ■ ■ ■ 運用系サイバーセキュリティ担当 ■ ■ ■ ■ ■ ■ ■

CSIRT担当 ■ ■ ■ ■ ■ ■ ■ ■ ■ ■

SOC担当 ■ ■ ■ ■ ■ ■

ISMS担当 ■ ■ ■ ■ ■ ■ ■

担当職

システム企画担当 ■ ■ ■ ■ ■ ■ ■ ■ ■ ■ 基幹システム構築担当 ■ ■ ■ ■ ■ ■ ■ ■ 基幹システム運用担当 ■ ■ ■ ■ ■ ■ ■ ■ WEBサービス担当 ■ ■ ■ ■ ■ ■ ■ ■ 業務アプリケーション担当 ■ ■ ■ ■ ■ ■ ■ ■ インフラ担当 ■ ■ ■ ■ ■ ■ ■ ■ サーバ担当 ■ ■ ■ ■ ■ ■ ■ ■

DB担当 ■ ■ ■ ■ ■ ■ ■ ■

カテゴリ 役割（担当）

適応力・態度（■＝チームワークや作業遂行に必要）

問題 発見 力

問題 分析 力

仮説 設定 力

論理 思考 力

概 念化 力

俯瞰 力

深耕 力

革新 力

継続 力

相 手 の考 えを 理 解 す る力

自 分 の考 え を伝 え る力

共 感 を 呼 ぶ力

担当職

ネットワーク担当 ■ ■ ■ ■ ■ ■ ■ ■ サポート・教育担当 ■ ■ ■ ■ ■ ■ ■ ■ ■ ヘルプデスク担当 ■ ■ ■ ■ ■ ■ ■ ■ ■

情報システ ム部門以外 のセキュリ ティ担当職

監 査 ・ 個 人 情報保護

監査責任者 ■ ■ ■ ■ ■ ■ ■

監査担当 ■ ■ ■ ■ ■ ■ ■ ■ 特定個人情報取扱責任者 ■ ■ ■ ■ ■ ■ ■ 特定個人情報取扱担当 ■ ■ ■ ■ ■ ■ ■ 個人情報取扱責任者 ■ ■ ■ ■ ■ ■ ■ 個人情報取扱担当 ■ ■ ■ ■ ■ ■ ■

②

期中間報告書）によるエキスパート人材（セキュリティ統括人材）の定義

[文献2]は産業横断検討会による第二期検討の中間報告を示したものであるが、この中で①に

示した人材リファレンスの見直しが行われている。具体的にはユーザ企業において内部的に育 成すべき人材キャリアとして、「エキスパート人材」を定義するとともに、セキュリティ統括（室 等）に所属するべき人材ではないかという仮説が設定されている。セキュリティ統括（室等）

に所属することから、エキスパート人材と呼ぶ代わりに「セキュリティ統括人材」と呼ぶこと も検討されている。[文献2]において、エキスパート人材は次のように定義されている。

 セキュリティを行うべき対象があるところで、対策責任を担った部署に必要。

 対象システムに必要なセキュリティ対策を設計する役割を担う。

サイバーセキュリティ対策として必要なタスクをもとに整理された①の人材定義リファレスに おける30種類の役割のうち、このエキスパート人材が担うべき役割と最も重なるものは何かを 産業横断検討会にて検討した結果をもとに、「セキュリティ設計担当」がエキスパート人材のモ デルの中心になるものと仮定されている。

③ 鎌田による、サイバーセキュリティに関する危機管理体制を担う３層の役割

[文献4]では、サイバーセキュリティマネジメントにおける経営層・管理層・技術層の役割と

して、平常時・非常時それぞれ次表に示すような内容を担う必要があることが示されている。

このうち管理層については、『現場と経営層の間に立って、経営層への適切な報告のほか、リソ ース獲得のための努力、現時点の認識の報告や現状の説明、セキュリティ啓発活動といった、

経営層に向けた仕事を背負う責任ある立場となる。それらに加え、現場のセキュリティ運用の 管理やリスク管理をしながら、セキュリティ対策の実装などの企画もこなしていく、サイバー セキュリティマネジメントの中核をなす、組織にとっての司令塔であり参謀』（[文献 4]より引 用）として重要な役割に位置付けられている。

表 5 経営層・管理層・技術層の、平常時・非常時それぞれの役割（[文献4]より引用）

モデル 平常時 非常時

経営層

・リスクの認識

・リスクの決定と優先順位づけ

・リソースの割当

組織としての意思決定

管理層

（企画）

・ガバナンス（PPP、PPT）

・コンプライアンス

・リスク管理

・演習や訓練の実施

・経営層への報告

・現場との連携

インシデント対応の司令塔

（トリアージ）

技術層

（現場・運用）

・インフラの保護（監視／検知）

・リスク管理策の実行

インシデント対応の技術的対応・

現場対応

注）PPP=Policy, Process, Procedure、PPT=Policy, Process, Technology

④ NIST によるサイバーセキュリティ人材の役割定義

[文献 14]は、米国政府機関向けを含むサイバーセキュリティ専門家の育成・活用、サイバー

セキュリティの国民意識の向上、教育機関におけるサイバーセキュリティ教育の推進などを目 指して策定された、サイバーセキュリティ人材に関するフレームワークである。同文献は2011 年に策定された初版に基づく政府機関等における実践結果を踏まえ、タスクやスキルに関する 定義範囲を拡大した上で新たに公表されたものである。全体で52種類の役割が定義されている が、米国ではこれらの役割をジョブディスクリプションとして人材の採用・育成・キャリアパ ス形成等に活用されており、日本の企業等におけるジョブローテーションとは異なる意味合い を持つことに留意する必要がある。

「Oversee and Govern（監督・統制）」領域における役割として同文献に示されている14種 類の役割の一覧を次表に示す。このうち②③の文献で定義している「エキスパート（セキュリ ティ統括）人材」や「管理層」を担う人材に相当する役割としては、「Program Manager（事 業計画マネージャー）」が近いものと考えられる。

表 6 「Oversee and Govern（監督・統制）」領域における役割一覧（[文献14]を和訳）

分類 役割名 定義

Legal Advice and Advocacy 法的助言・弁護

Cyber Legal Advisor

サイバーリーガルアドバイザー

サイバー法に関するトピックについて、法的な助言や勧告 を行う。

Privacy Officer/Compliance Manager プライバシーオフィサー/コンプライア ンス管理者

プライバシーコンプライアンスプログラムとプライバシープロ グラムスタッフを開発、監督し、プライバシーコンプライアン ス、ガバナンス/ポリシー、プライバシーとセキュリティの役員 とそのチームのインシデント対応のニーズを支援する。

Training, Education, and Awareness 訓練・教育・啓発

Cyber Instructional Curriculum Developer

サイバー教育カリキュラム開発者

教育上の必要に基づき、サイバーセキュリティを対象とする 訓練・教育に関するコース、手法及び技術について開発、

立案、調整及び評価する。

Cyber Instructor

サイバーセキュリティインストラクター

サイバーセキュリティ領域における要員の訓練または教育 を開発及び主導する。

分類 役割名 定義 Cybersecurity

Management サイバーセキュリテ ィマネジメント

Information Systems Security Manager 情報システムセキュリティ管理者

プログラム、組織、システム等におけるサイバーセキュリティ 対策に責任を負う。

Communication Security (COMSEC) Manager

通信セキュリティ管理者

組織の通信リソースまたは暗号鍵管理システムの鍵を管理 する。

Strategic Planning and Policy 戦略立案と方針

Cyber Workforce Developer and Manager

サイバーセキュリティ要員の育成者・

管理者

サイバー空間の人材、人材、訓練、教育の要件をサポート し、サイバー関連のポリシー、原則、教材、編成、教育訓練 の要件に対する変化を扱うためのサイバー空間を対象とす る労働力の計画、戦略、指針を開発する。

Cyber Policy and Strategy Planner サイバーセキュリティ対策方針・戦略 の立案者

組織のサイバーセキュリティに関するイニシアチブおよび規 制遵守をサポートし、それと整合するようなサイバーセキュリ ティ計画、戦略、およびポリシーを策定し維持する。

Executive Cyber Leadership 幹部によるサイバ ーリーダーシップ

Executive Cyber Leadership 幹部によるサイバーリーダーシップ

組織のサイバーおよびサイバー関連の資源及び/又は運用 に関する意思決定を行うとともに、ビジョンと方向性を確立 する。

Program/Project Management and Acquisition 事業計画/プロジェ クトの管理と調達

Program Manager 事業計画マネージャー

プログラムの主導、調整、コミュニケーション、統合を担い、

全体の責任を負う。機関や企業における優先度との整合性 を確保する。

IT Project Manager

ITプロジェクトマネージャー 情報技術関連プロジェクトを直接管理する。

Product Support Manager 製品サポートマネージャー

システムと構成要素の準備と運用上の機能を整備し維持す るために必要なサポート機能のパッケージを管理する。

IT Investment/Portfolio Manager IT投資/ポートフォリオ管理者

ミッションと企業の優先度に関する全体的なニーズに合わ せたIT投資のポートフォリオを管理する。

IT Program Auditor ITプログラム監査者

標準への準拠状況を判断するため、ITプログラムまたはそ の個々の構成要素を評価する。

⑤ NCA による

役割定義

[文献3]において示されている、組織が保有すべきCSIRTの役割として定義されている内容

は次の通りである。

表 7 NCAによるCSIRTの役割（[文献3]より引用）

分類 役割名称 業務内容

情報共有 PoC

社外窓口として、JPCERT/CC、NISC、警察、監督官庁、NCA、他CSIRT等との連 絡窓口となり、情報連携を行う。社内窓口として、IT部門、法務、渉外、IT部門、広 報、各事業部等との連絡窓口となり、情報連携を行う。

リーガルアドバイザー

情報技術やサイバーセキュリティなどにおける法課題やコンプライアンス問題が発 生した時に法的アドバイスを行う。法務部がITスキルに乏しい場合にはIT担当が 法務部向けに翻訳して橋渡しする形でもよい。

ノーティフィケーション 担当

自組織内を調整し、各関連部署への情報発信を行う。自組織システムに影響を及 ぼす場合にはIT部門と調整を行う。

情報収集・

分析

リサーチャー

セキュリティイベント、脅威情報、脆弱性情報、攻撃者のプロファイル情報、国際情 勢の把握、メディア情報などを収集し、キュレーターに引き渡す。単独機器の分析 は行うが、相関的な分析はしない。

キュレーター

リサーチャーの収集した情報を分析し、その情報を自組織に適用すべきかの選定 を行う。リサーチャーと合わせてSOC（セキュリティオペレーションセンター）で実施 することが多い。

脆弱性診断士 OS、ネットワーク、ミドルウェア、アプリケーションが安全かどうかの検査を行い、診 断結果の評価を行う。

分類 役割名称 業務内容

セルフアセスメント担当 自組織環境や情報資産の現状分析を行う。平常時の際にアセスメントを実施して おき、インシデント発生時にはアセスメント結果に基づいて影響範囲を特定する。

ソリューションアナリスト

自組織の事業計画に合わせてセキュリティ戦略を策定する。現在の状況とあるべき

姿のFit&Gap分析からリスク評価を行い、ソリューションマップを作成して導入を推

進する。導入されたソリューションの有効性を確認し、経営層と情報共有を行い、

改善計画に反映する。

インシデント 対応

コマンダー

自組織で起きているセキュリティインシデントの全体統制を行う。重大なインシデン トに関してはCISOや経営層との情報連携を行う。また、CISOや経営者が意思決 定する際の支援を行う。

インシデントマネージャ ー

インシデントハンドラーに指示を出し、インシデントの対応状況を把握する。対応履 歴を管理するとともにコマンダーへ状況を報告する。

インシデントハンドラー インシデントの処理を行う。セキュリティベンダーに処理を委託している場合には指 示を出して連携し、管理を行う。状況はインシデントマネージャーに報告する。

インベスティゲーター

外部からの犯罪、内部犯罪を捜査する。セキュリティインシデントはシステム障害と は異なり、悪意のある者が存在する。通常の犯罪捜査と同様に、動機の確認や証 拠の確保、次に起こる事象の推測などを詰めながら論理的に捜査対象を絞ってい くことが要求される。

トリアージ担当 発生している事象に対して優先順位を決定する。被害がある場合の復旧優先順位 や、拡散している場合にはどのシステムから停止していくべきか等の判断を行う。

フォレンジック担当

システム的な鑑識、精密検査、解析、報告を行う。悪意のある者は証拠隠滅を図る こともあるため、証拠保全とともに、消されたデータを復活させ、足跡を追跡すること も要求される。

自組織内教

育 教育担当 主に役職員向けの教育を実施し、リテラシーの向上を図る。CSIRT向けの専門トレ ーニングについては別担当にしてもよい。

⑥ JNSA のセキュリティ知識分野（SecBoK）2017 における役割定義

[文献 7]において定義されているサイバーセキュリティに関する 16 種類の役割のうち、

CSIRT業務に関するものは表 7と整合性を確保している。それ以外の役割は次の通りである。

表 8 SecBoK 2017における役割定義（[文献7]より引用）

役割（ロール） 役割定義（ユーザ企業におけるおもな役割） セキュリティベンダ職種 CISO（最高情報セ

キュリティ責任者）

社内の情報セキュリティを統括する。セキュリティ確保の観点から、CIO（最 高情報セキュリティ責任者）、CFO（最高財務責任者）と必要に応じて対峙 する。

（外部委託しないことを 前提とする）

ＩＴ企画部門 社内のＩＴ利用に関する企画・立案を行う。必要に応じて、ＩＴの利用状況の

調査・分析等を行う。 コンサルタント

ITシステム部門 社内のＩＴプロジェクトを推進するとともに、アプリケーションシステムの設

計、構築、運用、保守等を担当する。 ネットワークアナリスト

情報セキュリティ監 査人

情報セキュリティに係るリスクのマネジメントが効果的に実施されるよう、リス クアセスメントに基づく適切な管理策の整備、運用状況について、基準に 従って検証又は評価し、もって保証を与えあるいは助言を行う。

情報セキュリティ監査人

⑦ IPA の

[文献6]において定義されているサイバーセキュリティに関する13種類の専門分野一覧は次

の通りである。これらは平成 29年度から IPAにて運用を開始したサイバーセキュリティ分野 を対象とする専門資格である情報処理安全確保支援士（登録セキスペ）の登録者の活躍分野と しての利用が想定されている。

表 9 ITSS+（セキュリティ領域）の専門分野一覧（[文献6]より引用）

専門分野 説明

情報リスクストラ テジ

自組織または受託先における業務遂行の妨げとなる情報リスクを認識し、その影響を抑制するための、

組織体制の整備や各種ルール整備等を含む情報セキュリティ戦略やポリシーの策定等を推進する。自 組織または受託先内の情報セキュリティ対策関連業務全体を俯瞰し、アウトソース等を含むリソース配分 の判断・決定を行う。

情報セキュリテ ィデザイン

「セキュリティバイデザイン」の観点から情報システムのセキュリティを担保するためのアーキテクチャやポ リシーの設計を行うとともに、これを実現するために必要な組織、ルール、プロセス等の整備・構築を支 援する。

セキュア開発 管理

情報システムや製品に関するリスク対応の観点に基づき、機能安全を含む情報セキュリティの側面か ら、企画・開発・製造・保守などにわたる情報セキュリティライフサイクルを統括し、対策の実施に関する 責任をもつ。

脆弱性診断 ネットワーク、OS、ミドルウェア、アプリケーションがセキュアプログラミングされているかどうかの検査を行 い、診断結果の評価を行う。

情報セキュリテ ィアドミニストレ ーション

組織としての情報セキュリティ戦略やポリシーを具体的な計画や手順に落とし込むとともに、対策の立案 や実施（指示・統括）、その見直し等を通じて、自組織または受託先における情報セキュリティ対策の具 体化や実施を統括する。また、利用者に対する情報セキュリティ啓発や教育の計画を立案・推進する。

情報セキュリテ ィアナリシス

情報セキュリティ対策の現状に関するアセスメントを実施し、あるべき姿とのギャップ分析をもとにリスクを 評価した上で、自組織または受託先の事業計画に合わせて導入すべきソリューションを検討する。導入 されたソリューションの有効性を確認し、改善計画に反映する。

CSIRTキュレ ーション

情報セキュリティインシデントへの対策検討を目的として、セキュリティイベント、脅威や脆弱性情報、攻 撃者のプロファイル、国際情勢、メディア動向等に関する情報を収集し、自組織または受託先に適用す べきかの選定を行う。

CSIRTリエゾ ン

自組織外の関係機関、自組織内の法務、渉外、IT部門、広報、各事業部等との連絡窓口となり、情報 セキュリティインシデントに係る情報連携及び情報発信を行う。必要に応じてIT部門とCSIRTの間での 調整の役割を担う。

CSIRTコマン ド

自組織で起きている情報セキュリティインシデントの全体統制を行うとともに、事象に対する対応におけ る優先順位を決定する。重大なインシデントに関してはCISOや経営層との情報連携を行う。また、

CISOや経営者が意思決定する際の支援を行う。

インシデントハ ンドリング

自組織または受託先におけるセキュリティインシデント発生直後の初動対応（被害拡大防止策の実施）

や被害からの復旧に関する処理を行う。セキュリティベンダーに処理を委託している場合には指示を出 して連携する。情報セキュリティインシデントへの対応状況を管理し、CSIRTコマンドのタスクを担当す る者へ報告する。

デジタルフォレ ンジクス

悪意をもつ者による情報システムやネットワークを対象とした活動の証拠保全を行うとともに、消されたデ ータを復元したり、痕跡を追跡したりするためのシステム的な鑑識、精密検査、解析、報告を行う。

情報セキュリテ ィインベスティ ゲーション

情報セキュリティインシデントを対象として、外部からの犯罪、内部犯罪を捜査する。犯罪行為に関する 動機の確認や証拠の確保、次に起こる事象の推測などを詰めながら論理的に捜査対象の絞り込みを行 う。

情報セキュリテ ィ監査

情報セキュリティに係るリスクのマネジメントが効果的に実施されるよう、リスクアセスメントに基づく適切な 管理策の整備、運用状況について、基準に従って検証又は評価し、もって保証を与えあるいは助言を 行う。

⑧ 人生

年時代構想会議中間報告におけるリカレント教育の提唱

[文献 5]では、『これまでのような、高校・大学まで教育を受け、新卒で会社に入り、定年で

引退して現役を終え、老後の暮らしを送るという単線型の人生を送るのではなく、個々人が人 生を再設計し、一人一人のライフスタイルに応じたキャリア選択を行い、新たなステージで求 められる能力・スキルを身につける機会が提供されることが重要である』との指摘を通じてリ カレント教育の重要性を提唱している。この一環として、社会人の学び直し向け教育の一環と して、サイバーセキュリティ人材育成に関する教育機会の提供が期待される。

調査結果からの考察

①～④の文献より、企業内のサイバーセキュリティに関する各層の役割・人材像について、

次のことが考察される。



本調査の実施と並行して、平成

年度後半頃より国内でも企業のビジネス戦略に応じた サイバーセキュリティ対策を担う役割（２．１における「戦略マネジメント機能」に相当）

の必要性が指摘されるようになりつつあるが、具体的な役割や人材像は明確になっていな い。



これに対して米国では、④の

サイバーセキュリティ人材フレームワークにおいて政 府機関・企業を横断するものとしてこうした役割がジョブディスクリプションとして定義 されるだけでなく、そうした役割を担うために必要となる知識・スキル・能力もあわせて 明確化されているなど、先行して整備が進んでいる。



一方、２．１において「システム担当」「システム構築・運用担当」としてサイバーセキ ュリティ対策を担うエンジニアに相当する役割については、 日本国内でも

や

＋などで役割や専門分野として多くの種類が定義されており、米国との比較においても見

劣りするものではない。ただし、日本においては

人材がベンダに偏在することが以前か

ら指摘されており、ユーザ企業においてこうした「システム担当」や「システム構築・運

用担当」に相当する役割の多くが外部委託されていることに留意する必要がある。

（３）必要とされる知識・スキル

調査対象文献においてサイバーセキュリティ対策を実施するために必要な知識・スキルに関し て言及されている内容について、２．１の分類における「戦略マネジメント機能」に求められる ものを中心に概要を以下に示す。

① 産業横断検討会による、 「エキスパート（セキュリティ統括）人材」や

「セキュリティ設計担当」が持つべき／育成すべき能力

[文献2]において、エキスパート（セキュリティ統括）人材に必要な能力については、中間報

告とりまとめの段階で明確に洗い出せておらず、検討を続けている状況にあることが報告され ている。この中で、特にエキスパート人材に必要な能力として、“リスクセンス”が挙げられて いる。これは、『何かの脅威に対応しなければならない場合、完璧な情報がそろっていない状況 で、事業へのインパクト、脅威への対抗手段の選択、必要なコスト・リソースなどの様々な要 因を勘案し、限られた時間の中で判断し対応していく』ための対応能力として定義されている。

一方、人材定義リファレンスで定義される30種類の役割のうち、エキスパート（セキュリテ ィ統括）人材と重なる要素の多い「セキュリティ設計担当」が持つべき能力／育成すべき能力 として、下表が挙げられている。

表 10 セキュリティ人材育成の考え（[文献2]より引用）

能力 具体的な例 育成に必要な条件

個人の 行動力

適応力・態度 リスクセンス・コミュニケーション 環境により醸成され るもの

プロフェッショナルス

キル 人材定義リファレス：機能（業務区分）

自主的に学習可能 知識 人材定義リファレス：機能（要求区分） なもの

経験 キャリアパスやこれまでの業務経験（人生経験）

環境によって醸成さ れるもの

倫理観・信条等 仕事に対するスタンス

プロジェ クト管理 能力

活動 人材定義リファレス：機能に対する「実際の業務」 学 習 と 環 境 の 両 面

から育成されるもの

プロジェクト管理 業務の優先順位付けや、達成基準の設定と評価

② 鎌田による、サイバーセキュリティ対策を担う人材に必要な能力

[文献 4]において、鎌田は管理系人材に求められるスキルとして、『米国におけるサイバーセ

キュリティ人材の教育カリキュラムをみると、最近ではクリティカルシンキング（批判的思考）、 情報の取捨選択方法、的確なレポーティング能力、問題解決能力など、いわゆるビジネススキ ルの基礎といわれるようなものの説明に結構な時間が割かれているようである。これらは実は 組織経営における意思決定のトレーニングで行われるようなコンテンツに酷似しており、サイ バーセキュリティのマネジメント人材に求められる素質は経営人材に求められる素質と極めて 近いことがわかっている。』とした上で、国内での経験をもとに、管理系人材にとって重要なヒ ューマンスキルとして次表の内容を挙げている。

表 11 管理系人材にとって重要なヒューマンスキル（[文献4]をもとに編集）

スキルの種類 求められる内容

対人能力



各種セキュリティ関係の取組みを円滑に進めるために、効果的なコミュニケーション ができることが必要



通知文やポリシーの策定などの文書作成にあたることもあるため、執筆能力も重要。

組織内調整力



サイバー攻撃対応は一部門のみで対応する問題ではなく、組織内の各部門が横断 的に対応する必要性がある。サービスを担当する業務部門、広報部門、法務部門 等、多数にわたる部門との調整力が求められる。

構造化能力



サイバーセキュリティの仕事においては、さまざまな情報を何らかの意味のある軸で とらえて、全体と部分の関係を明らかにし、全体の中で抜け・漏れがないように考え る能力が重要となる。構造的、網羅的に対策を考え、状況を俯瞰的に見て進める能 力がなければ、本来守るべきものが疎かになってしまう。

抽象化能力



技術的・専門的な内容を理解するための十分な知識を持たない人に対して、「間違 っていない」範囲で抽象的に説明することが必要となる。特に経営層とのやりとりに おいては、うまく要点のみをとらえて抽象的に物事を説明することが重要になる。

一方技術系人材については、すべての人材の必要な観点として、サイバーセキュリティを理解 するために必要なITに関する「知識」と実際に手を動かす「経験」、上級レベルの人材に求めら れる観点として、これらに加えて、高度な専門性を培うのに欠かせない「やる気」と、多様な観 点から物事を分析したり、重要なポイントをとらえる「センス」がそれぞれ挙げられている。

③ ロバート・L・カッツの提唱する、管理職に求められる能力

①②の調査結果より、管理系人材に求められる能力と共通要素が多いと見込まれることから、

ここではこうした人材のスキル分析に関する古典として知られるロバート・L・カッツの著作

（[文献 15]）について調査した。同文献において、カッツは管理者像として（ａ）他人の行動

を指揮し、（ｂ）こうしたことに力を入れることを通じて、特定の目標を達成する責任を負うこ ととし、これを実現するための能力として、「テクニカル・スキル」（業務遂行能力）、「ヒュー マン・スキル」（対人関係能力）、「コンセプチュアル・スキル」（概念化能力）の３種類を示し ている。この学説を紹介する[文献9]では、3種類のスキルはそれぞれ次表のように整理されて いる。

表 12 管理者に求められる能力（[文献9]を参考に作成）

スキル名 定義 相対的な重要性

コンセプチュアル・

スキル

企業を総合的にとらえることができる能力のこと。組織の諸機 能がいかに相互に依存しあっているか、またその内のどれか １つが変化したとき、どのように全体の機能に影響が及ぶかを 認識することであり、個別の事業が産業、地域社会、さらには 国全体の政治的、社会的、経済的な力とどのように関係して いるかを明確に描けることにまで及ぶ。

最上階層において 特に重要

ヒューマン・スキル

グループの一員として手際よく仕事を行い、自分の率いるチ ーム内で力を合わせて努力する場を作り上げることや、グル ープ間で関係を構築すること。他人との対応能力であるヒュ ーマン・スキルは、どの階層においても効果的管理を行うため の基本となるもの。

すべての階層にお いて重要

テクニカル・スキル 特定の活動、特に手法、プロセス、手順、あるいはテクニック と関わり合う活動を理解し、それに熟達していること。

下位階層において 特に重要

カッツは同文献において、次図のように上位階層の管理者ほど「コンセプチュアル・スキル」

が占める割合が高まることを示している。

上位層

（経営者など）

下位層

（現場リーダーなど）

中位層

（管理職など）

コンセプチュアル・スキル

ヒューマン・スキル

テクニカル・スキル

それぞれの役割において、３種類のスキルが必要とされる比率

図 4 管理者としての階層に応じて求められるスキルの相違（[文献15]をもとに作成）

なお、[文献15]ではカッツが1955年に最初の論考を発表してから約20年後のコメントとし て、コンセプチュアル・スキルについて、『いまではこの思考方法がどの程度オン・ザ・ジョブ で育成され得るか、これまでほど楽観的にはなれなくなっている。人生の初期にこの思考方法 を学ばない限り、経営者の地位に到達するに当たって、大きな変化を起こすことを期待するこ とは非現実的である。ジョブ・ローテーション、特別な部門をまたがる任務、ケース問題との 取組みは事前に育成済みのコンセプチュアル・スキルを高める機会であることは確かである。

しかし、青年期を過ぎた人が、この思考方法をどの程度身につけることができるかについては 疑問に思っている。したがって、この意味で、コンセプチュアル・スキルは生得の能力と見る べきものであるかもしれない。』として、管理職になってからの能力の習得の可能性については 限界があることを示唆している。

④ NIST による

サイバーセキュリティ人材フレームワークを構成するタスクと知識・ス キル・能力に関するリスト

[文献 14]では、米国の政府機関をはじめとする組織においてサイバーセキュリティ関連業務

に従事する人材が担うタスクと、それらのタスクを遂行する上で求められる知識・スキル・能 力の一覧をそれぞれリストとして提示した上で、表 6に抜粋を示した 52種類の役割における タスクと知識・スキル・能力との対応関係を個別に示している。このうち「Program Manager

（事業計画マネージャー）」に求められる知識・スキルを抜粋したものを次ページ表に示す。

なお、⑤にて示すように本文献にて示される知識・スキル・能力の一覧を日本国内における サイバーセキュリティ関連業務に必要な知識やスキルと比較すると、一部が不足することが JNSA における検討を通じて明らかになっており、日本国内での活用にあたっては留意が必要 である。